Durante al menos tres años, los piratas informáticos han abusado de un zero-day en uno de los plugins de jQuery más populares, para plantar shells en web y tomar control de servidores web vulnerables.
La vulnerabilidad afecta al plugin jQuery File Upload creado por el prodigioso desarrollador alemán Sebastian Tschan, más conocido como Blueimp.
El plugin es el segundo proyecto jQuery más destacado en GitHub, después del propio jQuery framework. Es inmensamente popular, se ha bifurcado más de 7.800 veces y se ha integrado en cientos, si no miles, de otros proyectos, como CMS, CRM, soluciones de Intranet, complementos de WordPress, complementos de Drupal, componentes de Joomla, etc.
Una vulnerabilidad en este complemento sería devastadora, ya que podría abrir vacíos de seguridad en muchas plataformas instaladas en muchos lugares sensibles.
Este escenario del peor de los casos, es exactamente lo que sucedió. A principios de este año, Larry Cashdollar, un investigador de seguridad para SIRT (Equipo de Respuesta de Inteligencia de Seguridad) de Akamai, descubrió una vulnerabilidad en el código fuente del complemento que maneja las cargas de archivos a los servidores PHP.
Cashdollar dice que los atacantes pueden abusar de esta vulnerabilidad para cargar archivos maliciosos en servidores, como puertas traseras y shells en web.
El investigador de Akamai dice que la vulnerabilidad ha sido explotada libremente. «He visto cosas desde 2016», dijo el investigador a ZDNet en una entrevista.
La vulnerabilidad fue uno de los secretos peor guardados de la escena hacker y parece haber sido explotada activamente, incluso antes de 2016.
Cashdollar encontró varios videos de YouTube que contienen tutoriales sobre cómo se podría explotar la vulnerabilidad del complemento de carga de archivos jQuery para tomar control de los servidores. Uno de los tres videos de YouTube que Cashdollar compartió con ZDNet data de agosto de 2015.